L appréciation du niveau de sécurité d un établissement

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "L appréciation du niveau de sécurité d un établissement"

Transcription

1 L appréciation du niveau de sécurité d un établissement Delphine MORLOT Gestionnaire des risques

2 Le concept de sécurité hospitalière La sécurité des soins est basée sur le principe de ne pas nuire aux patients. La sécurité est la capacité d empêcher ou d éviter les résultats indésirables ou les dommages qui proviennent des processus de soins. La sécurité est une dimension qui est étroitement liée à l'efficacité, bien qu'elle s en distingue en mettant l accent sur la prévention des événements indésirables et sur la réduction des défauts de qualité des soins pour les patients.

3 Niveau de sécurité et risques La sécurité est un ensemble des dispositions prises pour éviter ou réduire les risques En général, le niveau de sécurité est associé à l absence de risque non acceptable et sous-entend que le seuil d acceptabilité du risque est déterminé.

4 Appréciation et indicateurs de sécurité Mesure de perception: culture sécurité Indicateurs sécurité patients Indicateurs de performance/ processus : Formation personnel, REX, analyses systémiques effectuées Outil d évaluation d un dispositif de management des risques?

5 Les grands indicateurs de la sécurité des soins Les indicateurs relatifs à la sécurité des soins sont bien développés. On peut les regrouper en quatre grands domaines : Infections nosocomiales 1.Infections nosocomiales: des plaies, celles liées aux soins médicaux,etc. 2.Evénements sentinelles: accidents liés à la transfusion, erreurs de groupe sanguin, les auto extubations, etc Evenements sentinelles Securité des soins Complications operatoires 3. Complications opératoires et postopératoires: intubation difficile, embolies pulmonaires ou accidents d anesthésie Autres evenements indésirables 4. Autres événements indésirables.

6 Les cadres de référence de gestion des risques Recommandations HAS: Pratiques en management des risques EFQM: Dispositif de management des risques COSO 2 OCEG ISO COSO 2 HAS EFQM OCEG ISO

7 Comparatif des cadres de référence de Intitulé Année de dernière re révision HAS Principes méthodologiques pour la gestion des risques en établissement de santé Structure Chapitre 1 : La notion de risque et les objectifs de la gestion des risques Chapitre 2 : Les systèmes complexes et leurs défaillances Chapitre 3 : La maitrise des risques Chapitre 4 : Le management des risques Chapitre 5 : Les approches du risques en établissement de santé gestion des risques EFQM COSO 2 Guide EFQM pour le management des risques Cadre de référence pour le management des risques de l entreprise OCEG ISO Référentiel de processus de Gestion des risques de la Gouvernance et de la Compliance (GRC) Management du risque: principes et lignes directrices Guide selon les 9 critères EFQM Le dispositif de management des risques comprend 8 éléments : 1.- L environnement interne (culture risque) 2.- Fixation des objectifs (Intégration de la gestion du risque) 3.- Identification des événements (Méthodes, outils) 4.- Evaluation des risques (Echelles gravité, fréquence, matrice ) 5.- Traitement des risques 6.- Activités de contrôle (Procédures, mesures de prévention etc..) 7.- Information et communication 8.- Pilotage Ce référentiel est organisé en - 8 résultats attendus du système a savoir : 1.Atteindre les objectifs 2.Améliorer l organisation 3.Augmenter la confiance des parties prenantes 4.Préparer et protéger l'organisation 5.Prévenir, dépister et réduire l'adversité 6.Motiver & Inspirer les conduites souhaitées 7.Améliorer la valeur 8.optimiser l efficacité économique et sociale - 8 domaines de processus permettant d atteindre les résultats attendus: 1.Culture & Contexte 2.Organiser & Superviser 3.Analyser i& Identifier 4.Prévenir & Promouvoir 5.Détecter & Discerner 6.Informer & Intégrer 7.Répondre & Résoudre 8.Monitorer & Mesurer 11 principes: 1.MR crée de la valeur et la préserve 2.MR est intégré aux processus organisationnels 3.MR intégrée aux processus de décision 4.MR traite explicitement de l incertitude 5.MR est systématique, structuré et utilisé en temps utile 6.MR s appuie sur la meilleure info disponible 7.MR est adapté 8.MR intègre les FH et culturels 9.MR est transparent et participatif 10.MR est dynamique, itératif et réactif au changement 11.MR facilite l amélioration continue de l organisme

8 Evolution du choix du cadre de référence au CHL OCEG et ISO Alignés sur notre politique gestion qualité normatif ISO COSO 2 Cohérence avec notre nouvelle gouvernance (COM CNS) Gestion des risques reliée aux objectifs SECURITE PATIENT EFQM Aligné sur modèle qualité national Auto assessment Recommandations HAS Adaptabilité aux établissements de santé

9 Le référentiel COSO 2 de gestion des risques Le référentiel COSO 2 offre la possibilité d'apporter une réponse efficace aux risques auxquels l organisation doit faire face, renforçant ainsi sa capacité de création de valeur. Ce référentiel de bonnes pratiques a servi de base à toute l approche de gestion des risques du CHL. Management des risques rattaché à la nouvelle gouvernance et aux objectifs fixés (stratégiques COM CNS) - Analyse de risque qualitative inductive (AMDEC) - REX - Suivi amélioration - Rapport analyse - Pilotage Déploiement du management des risques (direction- départements unités services logistiques)

10 COSO 2: élément ENVIRONNEMENT INTERNE En 2010, le CHL a mesuré la culture sécurité selon le questionnaire utilisé en Belgique (SPF) et région Aquitaine en France Volonté des dirigeants de responsabiliser le middle management et le management de proximité dans la gestion des risques Canaux de reporting clairs permettant au personnel de s impliquer dans la détection de risques et EI Politique des ressources humaines s appuyant sur la gestion des compétences, formation avec politique de reconnaissance

11 COSO 2: Elément FIXATION DES OBJECTIFS L approche des risques de COSO 2 repose sur la définition des objectifs stratégiques et donc des risques qui peuvent être acceptés ou non concernant ces objectifs. COSO 2 définit ainsi la notion d appétit au risque comme le risque global que l organisation est prête à accepter ou refuser afin d atteindre ses objectifs stratégiques. Cet appétit au risque prend la forme de la définition d une «enveloppe» globale de risque au dela de laquelle l organisation refusera de poursuivre les objectifs fixés. L appétit au risque doit généralement être défini par l autorité décisionnelle la plus haute et refléter ainsi les aspirations des financeurs et prendre en considération les contraintes des autorités de régulation et contrôle. Ainsi par exemple on pourra définir l appétit au risque comme «Eviter que l ensemble des risques évalués dépassent x% du budget annuel».

12 COSO 2: Elément IDENTIFICATION DES EVENEMENTS L identification des risques au CHL se fait selon 2 approches: L identification a priori des risques avec l utilisation de l AMDEC L identification a posteriori avec le système électronique de déclaration d un incident Utilisation de la même échelle de gravité

13 COSO 2: Elément EVALUATION DES RISQUES Niveau de gravité Impact 5 GRAVE 4 3 MODERE 2 FAIBLE FAIBLE 1 Echelle de gravité Dommage patient, visiteur : Décès, catastrophes internes ou externes entrainant une perte de vies humaines Dommage personnel : Accident mortel Dommage financier : Perte supérieure à 1 million d euros Dommage biens : Destruction totale d infrastructures ou de biens Dommage environnement : Dommage irreversible sur l environnement Dommage opérationnel : Interruption du fonctionnement de l hopital susceptible de provoquer l effonfrement de l entreprise Dommage image externe, réputation r : Perte significative de confiance d un groupe de clients Dommage patient, visiteur : Lésion ou atteinte irréversible, handicap permanent, fugue patient à risque, infection avec séquelles Dommage personnel : Incapacité totale ou partielle, avec invalidité permanente Dommage financier : Perte comprise entre et 1 million d euros Dommage biens : Destruction partielle d infrastructures ou de biens Dommage environnement : Dommage important sur l environnement Dommage opérationnel : Interruption du fonctionnement d un service pendant plusieurs jours Dommage image externe, réputation r : Attention négative de grande ampleur des médias Dommage patient, visiteur : Lésion ou atteinte réversible, nécessitant un traitement médical, prolongation d'hospitalisation: handicap temporaire Dommage personnel : Accident nécessitant des soins, sans incapacité de travail ou incapacité temporaire Dommage financier : Perte comprise entre et euros Dommage biens : Matériel lourd en réparation avec remplacement différé dans un délai supérieur à une semaine Dommage environnement : Dommage partiel et réversible sur l environnement d une zone définie Dommage opérationnel : Interruption momentanée du fonctionnement d un service pendant plusieurs heures Dommage image externe, réputation r : Article négatif d un secteur dans la presse Dommage patient, visiteur : Retard de prise en charge sans conséquence, infection sans séquelle Dommage personnel : Accident sans soin, sans incapacité de travail Dommage financier : Perte comprise entre 1000 et euros Dommage biens : Indisponibilité des équipements à la date prévue Dommage environnement : Dommage mineur pour l environnement Dommage opérationnel : Problème organisationnel, modification de l activité Dommage image externe, réputation r : Commentaire défavorable dans les questionnaires d évaluation de séjour Dommage patient, visiteur : Aucune complication, aucun impact Dommage personnel : Incident Dommage financier : Perte inférieure à euros Dommage biens : Aucune perte matériel Dommage environnement : Aucun impact pour l environnement Dommage opérationnel : Aucun impact Dommage image externe, réputation r : Insatisfaction verbale de la clientèle (mécontentement) Echelle d occurence Note d'occurrence Exceptionnel, rare 1 Une fois par an 2 Une fois par semestre / trimestre 3 Une fois par mois 4 Une fois par semaine 5 Chaque jour 6 Echelle de prévention : Mesures de prévention Mesures de prévention (règles, protocoles, procédures ) mises en place + Formation du personnel. Evaluations réalisées Mesures de prévention (règles, protocoles, procédures ) mises en place + Formation du personnel. Evaluations non réalisées Mesures de prévention non formalisées, ou pas connues, ou non appliquées. Absence de formation/ sensibilisation au risque identifié Absence de mesures de prévention. Absence de sensibilisation. Absence de formation Note

14 COSO 2: Elément TRAITEMENT DES RISQUES Le traitement des risques se fait selon leur gravité (compatibilité avec le système de responsabilisation mise en place) RISQUES MAJEURS 4 et 5 Direction générale Comité de direction RISQUES MODERES 3 Chefs de département clinique Référents vigilants Responsables des risques RISQUES MINEURS 1 et 2 Chefs d unité, chefs de service

15 COSO 2: Elément ACTIVITES DE CONTRÔLE Plan d audit interne Contrôles permanents et temporaires (quick audit) Processus de contrôle du respect des bonnes pratiques Comités de reporting et de contrôle des activités à risques

16 Educate the Board, m anagem ent, the workforce and the extended enterprise about expected conduct and increase the skills and motivation needed to help the organization achieve Principled Performance. 1. DEFINE AN AWARENESS AND EDUCATION PLAN Define a plan to make each target population generally aware of the GRC system and their responsibilities and expected conduct: consider scope of awareness required in extended enterprise, consider the existing level of skill when designing plan, categorize content general awareness versus specific, in-depth training, ensure people only get training relevant to their function/position, ensure the approach to education considers cultural differences, generational differences, and learning style differences in the target populations. Develop materials describing the primary elements of the GRC system including the underlying mission, vision, and values of the organization Determine which target audiences require more specific education about particular aspects of the GRC system or about specific policies and procedures. 2. DEFINE A CURRICULUM PLAN Identify legally required education courses including: who must be trained, what the content must cover, how much time must be 01 devoted to the course and how it will be measured, and what methods may be used. 02 For each course that contains legal and/or policy content, map the objective to specific legal and/or policy requirements. 03 Define the competence required of specific roles and positions. 04 Map the series of required and desired courses for each role and position. Conduct a needs assessment that identifies high risk and mandatory training needs, and develop a training plan for each job or job family that details: learning objectives, training modules, target duration of training module, timeline for conducting training, timeline and 05 method(s) for assessing knowledge and/or skill, and frequency for each course, including any "refresh" courses. 06 Define the timeframe for training newly hired, promoted, or transferred individuals for their new roles. For each learning object, select appropriate training mode, media, and synchronicity based on: current skill level of the target audience, target skill level of the target audience, total population size and geographic distribution of the audience, and existing infrastructure to 07 deliver training. 3. DEVELOP OR ACQUIRE CONTENT Inventory all standardized awareness messages, capturing critical information on each and compare to desired communications in 01 awareness and education plan. 02 Inventory all live, online, and self-paced courses and related training vendors, capturing critical information on each and compare to desired courses in master curriculum. 03 Prepare content development plan to fill gaps in inventory. Use qualified individuals to develop training modules including, as appropriate, learning professionals and subject matter experts with 04 relevant training and experience. 05 Tailor content to an understanding of the target audience s general ability and readiness to learn. 1 Prioritized Risk Matrix (DEL.M.03) A table correlating each risks to its attributes like: classification or prioritization, sources of risk (event, trend, requirement, etc.), inherent risk analysis (likelihood, impact, duration) 2 Helpline FAQ Descriptions (DEL.D.04) together with the preferred guidance (DEL.P.01) A schedule that sets out: the structures, 4 Curriculum Plan (DEL.P.03) may include a detailed description of each course: name of course, course objectives, skills to be attained, options for attendance together with the skills pre-requisites for each course 5 Risk Optimization Plan (DEL.P.07) optimize the organization's risks. 6 Findings and Recommendations Report (DEL.R.03) A presentation or statement of the outcome of an activity or analysis together with recommendations for improvement 1 Are the activities planned and scheduled in a job description? 6 Is there a someone analysing the process activity on a consolidated manner? 2 Are there information from this process exchanged with other processes? 7 Is there a standard definition of this process in a manual? 3 Are these activities supervised?are there clear instructions in case of problems? 8 Is there a periodic review of this process insuring that this process is applied? 4 Are there reviews and validation of the documents produced? Corrective actions? 9 Is this process performed using IT specifically designed tools? 5 Are there versioning rules and filing rules for the documents produced? 10 Have awareness, communication and training sessions been performed? Rating scale of the evaluation: F : Fully (>85% to 100%) There is a complete and systematic achievement L : Largely (>50% to <85%) There are significant evidences of achievement P : Partly (>15% to <50%) There are some evidences of achievement N : Not achieved (0 to 15%) There is little or no evidence of achievement COSO 2: PILOTAGE et évaluation du dispositif Une approche de diagnostic du niveau de qualité des processus de gestion des risques a été développée sur base de deux cadres de références : 1. ISO : norme d évaluation des processus (fortement développée par le centre Tudor du Luxembourg) 2. Référentiel de Risques OCEG (compatible COSO2): Cette approche d évaluation permet ainsi Des résultats clairs et non ambigus: scope défini, rapports détaillés et ne dépendant pas des personnes qui évaluent; Des résultats objectifs: basés sur des faits et preuves tangibles de 1 Cadre de référence de l évaluation des processus de risque l éxecution des processus. 2 Evaluation des 3 Processus Outils d évaluation 4 Rapport d evaluation GRC Process Assessment Questionnaires: P4 - Awareness & Education Activities Output A detailed description of the questions that are frequently asked to the helpline, 3 Communication and Reporting Plan processes and resources to deliver information to those with authority to act at appropriate times to affect or monitor a program or initiative. A synopsis reflecting the timing of all courses of study for a particular role and A document that sets out the strategy, structures, processes and resources to Ref GRC Process Name Level 0 Level 1 Level 2 Level 3 Level 4 Level 5 Level PO1 Define a Strategic IT Plan 2 PO2 Define the Information Architecture 1 PO3 Determine Technological Direction 1 PO4 Define the IT Processes, Organisation and 2 PO5 Manage the IT Investment 2 PO6 Communicate Management Aims and Direction 0 PO7 Manage Human Resources 2 PO8 Manage Quality 0 PO9 Assess and Manage IT Risks 0 PO10 Manage Projects 2 Process Communication & Deployment

17 Les référentiels COSO 2 et OCEG Le référentiel COSO 2 a été enrichi par les référentiels OCEG et ISO le référentiel OCEG détaille les bonnes pratiques de COSO sous forme d un descriptif de processus et ISO propose une série de définitions et bonnes pratiques complémentaires. Le Modèle OCEG organise les 8 domaines de COSO 2 en 8 familles de processus ou sont détaillés les objectifs de ces processus le activités et résultats attendus. COSO 2 OCEG MONITORER & MESURER CULTURE & CONTEXTE ORGANISER & SUPERVISER M1 - Contexte C1 - Contexte Externe des risques O1 Résultats attendus M2 - Performance des processus de risque C2 - Contexte Interne des risques O2 - Rôles & Responsabilités M3 - Amélioration du Système C3 - Culture du risque O3 - Approche des risques M4 - Audit interne C4 - Valeurs REPONDRE & RESOUDRE R1 - Revue Interne & Investigation R2 - Investigations R3 - Réponse aux Crises R4 - Résolution des incidents INFORMER & INTEGRER M MONITOR & MEASURE R C O I INFORM & INTEGRATE D ORGANIZE & ANALYSER & IDENTIFIER A1 - Identification des risques A2 - Analyse des risques A3 - Optimisation des risques PREVENIR & PROMOUVOIR P1 - Codes de conduite P2 - Procédures P3 - Processus de contrôles préventifs P4 - Sensibilisation et formation au risque P5 - Incitations HR I1 - Gestion Information & Documentation P6 - Contrôles HR I2 - Communication Externe et Interne DETECTER & DISCERNER P7 - Relations I3 - Technologie & Infrastructure D1 - Hotline & Notifications P8 - Contrôles technologique préventifs D2 Enquêtes & Sondages P9 - Contrôles physiques préventifs D3 - Contrôles Detectifs P10 - Assurances A P

18 COSO 2: PILOTAGE et évaluation du dispositif Pour chacun des processus de gestion des risques définis par le référentiel OCEG /COSO 2 Aun niveau de qualité ou maturité est défini sur une échelle de 0 a 5 B et sur base d un niveau de justification C. Niveau 5 Optimisé A MONITORER & MESURER CULTURE & CONTEXTE ORGANISER & SUPERVISER M1 - Contexte C1 - Contexte Externe des risques O1 Résultats attendus M2 - Performance des processus de risque C2 - Contexte Interne des risques O2 - Rôles & Responsabilités M3 - Amélioration du Système C3 - Culture du risque O3 - Approche des risques M4 - Audit interne C4 - Valeurs REPONDRE & RESOUDRE R1 - Revue Interne & Investigation R2 Investigations R3 - Réponse aux Crises R4 - Résolution des incidents EASURE M M ONITOR & R C O I INFORM & INTEGRATE D ORGANIZE & ANALYSER & IDENTIFIER A1 - Identification des risques A2 - Analyse des risques A3 - Optimisation des risques PREVENIR & PROMOUVOIR P1 - Codes de conduite P2 - Procédures P3 - Processus de contrôles préventifs P4 - Sensibilisation et formation au risque INFORMER & INTEGRER P5 - Incitations HR I1 - Gestion Information & Documentation P6 - Contrôles HR I2 - Communication Externe et Interne DETECTER & DISCERNER P7 - Relations I3 - Technologie & Infrastructure D1 - Hotline & Notifications P8 - Contrôles technologique préventifs D2 Enquêtes & Sondages P9 - Contrôles physiques préventifs D3 - Contrôles Detectifs P10 - Assurances A P C Rating Pourcentage Description N Non Atteint P Partiellement Atteint L Largement Atteint F Totalement Atteint B Niveau 2 Répétable mais intuitif Niveau 1 Initial / Ad hoc Niveau 0 Inexistant 0% à 15% >15% à 50% >50% à 85% >85% à 100% Niveau 4 Géré & Mesurable Niveau 3 Defini Peu ou pas de preuve d atteinte de l attribut défini pour le processus Il y a des preuves d une approche sérieuse de l atteinte de l attribut défini pour le processus Il y a des preuves d une approche systématique de l atteinte d atteinte de l attribut défini pour le processus Il y a des preuves d une approche systématique de l atteinte complète de l attribut défini pour le processus Processus de Risque Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5 Maturité I1 Gestion Information & Documentation 2 I2 Communication Externe et Interne 1 I3 Technologie & Infrastructure 1 David Cau -

19 Les enjeux du choix d un cadre de référence de management des risques -Divergence des termes -Divergence des concepts -Divergence des méthodes Divergence des indicateurs sécurité

20 Réflexions à mener - Evolution du cadre législatif au Luxembourg : de la déclaration sur la sécurité du patient en 2005 au plan hospitalier Quelles politiques de management des risques dans les hôpitaux? - Quel cadre de référence utilisé? - Quels sont les moyens d évaluer nos démarches pour progresser?

21 Pilotage de la sécurité des risques et de la qualité Le pilotage de la sécurité, des risques et de la performance des établissements de santé consistera à porter une attention constante sur les objectifs stratégiques (tels que définis dans COSO) et en particulier le degré d atteinte de chacun des objectifs stratégiques (par des KPI) et des risques pouvant empêcher leur réalisation (par des KRI). C est le concept de risk». Gestion de la performance La gestion de la performance permet de maîtriser structurellement les objectifs stratégiques et d être le meilleur dans son domaine d expertise. Mission et valeurs Stratégie et propension au risque Objectifs stratégiques et tolérance au risque Gestion du risque (incluant la dimension contrôle) La gestion du risque permet d identifier et de quantifier les risques potentiels puis de mettre en œuvre des plans d action rectificatifs. Respect des valeurs Risques clés KPI KRI Planifier, Budgétiser et Prévoir Agir Faire Analyser et Rapporter